欢迎光临
我们一直在努力

利用Opendatasource 和Openrowset 函数在SQl中注入流程分析

说明

本方法是个比较早的方法,利用是T-SQL扩展进行的手工注入和提权,Opendatasource 和Openrowset 这两个函数在具体使用上会有些不同,在这里把各个函数使用的具体的步骤和思路提供给大家,望给大家做个参考~~~。网上也有相关系资料只是有些语句会有些错误~,下面流程图中的所有语句都在实际环境中测试过,只需要改动对应的数据库名/表名等信息就可以直接使用)流程图我使用viso2003画的,里面有针对这两个函数具体的使用语句和流程~安装viso后双击图片备注就会出来的~~~

如图:

595003289-1024x819 利用Opendatasource 和Openrowset 函数在SQl中注入流程分析

使用范围:

mssql 2000 ,mssql 2005 需要sa权限,2005使用还要打开某些开关~

解决问题:

SQL注入常用两种形式。一个是显示错误的注入;一个是在对方的WEB服务器关闭错误提示的时候采用ASCII 码拆半分法分析。当关闭错误提示的时候,这时来猜数据就很慢了,有时会有错误~这个就是针对 关闭错误提示时的一种方法。

过程简述:

这种注入方式实际上是利用T-SQL语言,在本地事先建立一个数据库,然后将目标数据库的内容通过Opendatasource 和Openrowset两个函数映射到本地数据库中,这样我们就可以方便的获取目标数据库中的信息。

595003289-1024x819 利用Opendatasource 和Openrowset 函数在SQl中注入流程分析

 

未经允许不得转载:杂术馆 » 利用Opendatasource 和Openrowset 函数在SQl中注入流程分析
分享到: 更多 (0)